El 20 de octubre, la AEPD hizo pública una sanción millonaria contra el BBVA por violar el Reglamento General de Protección de Datos (RGPD) en un caso de usurpación de identidad de uno de sus clientes. Los usurpadores obtuvieron acceso a su teléfono móvil, documento de identidad (DNI) y tarjeta de crédito, lo que les permitió llevar a cabo transacciones en su cuenta, incluyendo la solicitud de préstamos. Este caso es relevante tanto por la magnitud de la multa como por su enfoque en los principios de privacidad y seguridad en la lucha contra el fraude y la usurpación de identidad.
Análisis de las Infracciones asociadas:
- Infracción del artículo 25 del RGPD (principio de protección de datos desde el diseño): La AEPD destaca que la protección de datos no puede ser reactiva, sino que las organizaciones deben incorporarla desde el diseño. BBVA no actualizó su sistema de detección de fraude ni consideró los riesgos para los derechos de los clientes, lo que resultó en una infracción del artículo 25 del RGPD.
- Infracción del artículo 32 del RGPD: BBVA no tenía un procedimiento adecuado para evitar que los defraudadores contrataran productos electrónicamente, a pesar de ser conocedores de que los usurpadores no únicamente habían robado el documento de identidad de la interesada, sino también su teléfono móvil. La AEPD consideró que la entidad no evaluó adecuadamente los riesgos, además de carecer de medidas de seguridad de gestión de contraseñas y autenticación de usuarios para prevenir accesos no autorizados. La falta de medidas técnicas y organizativas apropiadas fue un factor determinante para considerar la infracción del artículo 32 del RGPD.
Conclusiones: tanto la observancia del principio de protección de datos desde el diseño y el respeto al principio de responsabilidad proactiva como el establecimiento e implantación efectiva de medidas de seguridad apropiadas en atención a los riesgos en los derechos y libertades de las personas físicas, es de vital importancia en aquellos responsables del tratamiento cuyo tratamiento de datos personales conlleve riesgos concretos sobre los derechos y libertades de las personas físicas, como pueden ser el de suplantación de identidad o el riesgo evidente de una pérdida patrimonial para el cliente que sufre las consecuencias. Esto se vuelve especialmente crítico en el contexto de la usurpación de identidad en el caso de las entidades financieras, práctica que está creciendo de forma exponencial en los últimos años.
Como consecuencia, es recomendable que las entidades financieras, pero también, por ejemplo, aquellas otras que tengan canales de contratación a distancia en los que se puedan materializar los riesgos observados en la Resolución, revisen su políticas y procesos internos de antifraude a fin de:
- garantizar que las mismas cumplen con la normativa de protección de datos en la medida de lo establecido por la AEPD en la resolución, esto es: protección de datos desde el diseño en el sistema de detección del fraude de la organización;
- garantizar la adopción de procedimientos de seguridad de datos personales tanto en la contratación de productos financieros, como en la inclusión y mantenimiento de los datos de los clientes en los sistemas de información crediticia.
- analizar los riesgos, así como establecer las medidas técnicas, organizativas y de seguridad necesarias para evitar que, en casos de sustracción o extravío de documentación identificativa o dispositivos de acceso a banca on line, puedan realizarse contratación de servicios bancarios y financieros sin consentimiento del titular de la documentación y dispositivos; y
- por último, velar por que los empleados de la organización aplican adecuadamente las medidas diseñadas y aplicadas a través de planes de concienciación y formación.
Esta sanción es un recordatorio de la importancia de la privacidad y la seguridad en un mundo cada vez más digital y subraya la necesidad de que las organizaciones se anticipen y se protejan proactivamente contra las amenazas que puedan afectar a los derechos y libertades de los interesados.
